事件回顾
北京时间年5月12日,一款名为“WannaCry”的勒索软件在全球范围内爆发。它通过互联网对全球运行的Windows操作系统的计算机进行攻击,利用AES-和RSA算法加密计算机中特定类型的文件,使用Tor进行通讯,短时间内在感染了全球一百多个国家、上万个机构的几十万台计算机,很多政务部门业务暂停。
WannaCry勒索病毒利用了美国国家安全局NSA的“永恒之蓝”(EternalBlue)工具对Windows用户进行勒索攻击。年4月17日,美国黑客组织ShadowBrokers(影子经纪人)公布了一批从方程式组织(EquationGroup)泄露的工具,其中便包括针对微软MS17-漏洞攻击的“永恒之蓝”。而方程式组织也是一个黑客组织,但是隶属于NSA,被认为是全球最顶尖的黑客团队,拥有大量的黑客攻击工具,因此也被称为是NSA的网络武器军火库。年,卡巴斯基在全球42个国家发现了“方程式组织”的个感染行为。同时卡巴斯基还表示,这只是冰山一角,由于这个黑客团队制造的“武器”拥有超强的自毁能力,绝大多数进攻完成之后,不会留下任何痕迹。而目前武器库中部分网络军火遭到了泄露,此次WannaCry事件也只是NSA网络军火民用化的全球第一例,还有很多已泄露但是尚未流出到民用网络的攻击工具。在未来的时间不排除会继续遭受到新的攻击工具攻击的可能性。
此次勒索病毒利用的是WindowsSMB服务漏洞,微软公司早在3月14日就发布了“MS17-”的信息安全公告,并向用户推送了Windows系统修复补丁“KB”以封堵此漏洞,但因该补丁只适用于仍提供服务支持的WindowsVista或更新的操作系统,较旧的WindowsXP等操作系统并不适用。5月13日,微软在其官方微博“微软中国MSDN”发布公告称,由于本次勒索病毒Wannacry影响重大,微软特别为已经停止服务多年的XP和部分服务器发布特别补丁。不少用户也因各种原因而未完成系统补丁的自动安装,因此这次针对此系统漏洞的WannaCry勒索病毒可以在已经存在漏洞补丁的情况下依然在全球范围内引起了如此巨大的影响。
这次事件是对中国网络安全防御体系的整体考验,不仅是对应急响应能力的考察,也是对过去安全建设和供应商选择的一次延期考试。在这次考试中,政府和企业都能够针对病毒大肆传播的现状,较为及时的做出响应,确保了国民财产的大面积流失。
事件影响及应急响应
涉及范围较广,影响程度深
这次WannaCry勒索软件在全球范围内爆发,牵扯到众多的国家、行业和单位。5月12日晚20时左右开始,仅仅几个小时之内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、中国、德国、土耳其等国都已中招。截止到5月14日上午,其已经攻击了上百个国家的超过10万家企业和公共组织,国内也有上万家机构和数十万台的机器被感染。下图反映了全球受到WannCry病毒攻击的国家和地区,可以看出全球大部分的面积都受到该勒索软件的影响,是近十年来影响较大的网络病毒。
感染病毒分布图
受影响地域分布较为集中
WannaCry病毒的影响面大,国内被感染的组织和机构已经覆盖了几乎所有地区,但是同时也具有一定的地域分布特征。如下图所示,在国内受影响的地区中,香港、北京、江苏、浙江、广东、上海、山东等省市受到其影响较为严重。整体来看,南方受影响比北方严重,东部沿海地区所受影响要比内陆地区严重,经济发达地区、信息化程度较高地区比经济落后、信息化程度低的地区所受影响更加严重。
我国感染病毒分布
各方面积极响应应对
自12日晚勒索病毒爆发开始,尚无国家政府宣称已经掌握事件幕后详细情况。针对WannaCry勒索软件在全国范围内大肆传播,短时间内造成大量计算机被影响感染的紧急状况,国家互联网应急中心(CNCERT)及时发布通告,提醒全国民众采取相应有效的措施对病毒进行防范。
此外,在病毒爆发的两天内,国家工信部、公安、教育、网信、银行等多各部门均紧急进行响应。其中,工信部13日组织各方对勒索软件进行了紧急研判,要求各基础电信企业在骨干网、城域网全面关闭端口,协调微软公司为已经停服的WindowsXP等系统发布补丁程序,并对重要系统风险情况加强监测。
中国人民银行13日上午6点半建立响应群,将免疫工具下发,8点半部署全国防护策略,包括网络、服务器、终端各个环节,到15日早晨十点半,全行无一例感染。
除了国家机关和国企单位之外,美亚柏科、、瑞星、金山、腾讯等几个国内主流的网络安全公司也组织相关的研究小组对病毒进行逆向分析,了解其传播和感染原理,在短时间内形成了有效的病毒分析报告、防范措施指南,并及时推出相应的病毒查杀和文件恢复工具。对于民众防范工作进行了积极的指导和帮助,在较大程度上避免了病毒在国内持续的高速传播和扩散。
病毒破坏表现
文档损失
对文件的加密,这是WannaCry勒索病毒的核心目的。受到该病毒感染的计算机,硬盘中的大部分类型的文件都会被加密。而且此次爆发的WannaCry病毒所针对目标类型文件众多,可以加密后缀名为ppt、doc、swf、zip、rar、eml、mp3、mp4、bat、c、cpp等上百种类型的文件,并统一改成后缀名为.WNCRY的文件,如下图所示,致使用户的文档数据损失,无法正常使用。
系统瘫痪
受到WannaCry勒索软件入侵的计算机会进入瘫痪状态。桌面上会弹出如下的对话框,要求用户支付一定数量的赎金到指定的虚拟地址。并且声称若在三天之内仍未完成支付,赎金将会翻倍。一个星期内未交付赎金,则电脑内资料会被永久清除。同时,若用户将该对话框关闭,则会不断地再次弹出对话框,严重影响到用户的正常上网、文档处理等工作的进行。
然而并不仅仅是受到攻击的个人计算机被锁死,无法正常使用。大部分网络中的全部计算机都受到影响。整个网络大面积的瘫痪导致相关组织机构的功能瘫痪,无法提供正常服务。
医院的计算机受到该病毒的入侵,导致整个内部的计算机网络瘫痪,医生看不到病人的资料,无法给病人开处方,核磁、CT扫描等检查无法照常进行,既定的手术被迫取消。此外,部分学校内网全部瘫痪,大部分的学生档案资料,学生作业、毕业设计和论文都因感染病毒导致的系统瘫痪而被锁死。
内网感染较为严重
此次WannaCry勒索软件的爆发,在内网中传播较为严重。据媒体报道,包括俄罗斯联邦内务部,中国教育网相连的大陆高校和中国公务机关内网的Windows设备都受到了不同程度的感染,此外,医院、铁路、企业、公安等行业均出现了一定程度的感染。其中,以学校和公安内网较为典型。主要原因是人们过分相信网络隔离带来的安全性,并且个别单位的内网电脑使用时间长,都是低版本Windows系统,加之没有及时的更新补丁,所以导致大量的内网电脑受到勒索病毒的攻击感染。
变种变异
5月13日,卡巴斯基曾声称发现了WannaCry2.0版本。变异的病毒取消了killswitch,不能通过注册某个域名来关闭变种勒索病毒的传播,并且2.0版本的WannaCry病毒的传播速度会更快,影响范围和影响程度会更大。一时间,网络上、微博上、政府信息安全部门及多个网络安全公司都转发了该关于该变种病毒“WannaCry2.0”的消息。
但在14日卡巴斯基就澄清了相关消息,承认当时并未发现无“开关域名”的样本。截至目前,共发现了三个样本,其“开关域名”和原始母体样本有区别。其中有两个样本是在原有样本的基础上,只修改了开关域名中的两个字节,另外一个样本则是将域名字符串全部替换掉。不管采用什么方式,这三款变种样本的思想都是替换掉原始样本中的开关域名。使得之前的通过注册域名的方式阻止病毒传播的方式失效。但是到目前为止还没有出现一款新型的无开关域名的WannaCry变种病毒。
但是,不排除在当前WannaCry病毒的传播扩散已经被成功控制的情况下,病毒制造者和传播者通过修改部分代码,实现一款感染性更强、传播速度更快的变种WannaCry勒索病毒。
解密存疑
遭到勒索软件攻击的系统会要求用户支付一定数量的赎金以恢复被加密的文件。但是目前尚无对交付赎金进行解密操作的分析,不确定是否能够正常解密。
病毒工作流程及攻击特征分析
通过对WannaCry病毒样本进行分析,可以发现其工作流程如下图所示:
此次的永恒之蓝WannaCry勒索病毒分为漏洞利用模块,加密器,解密器。其攻击逻辑如下:
第一步:攻击者发起攻击,被攻击机器由于存在漏洞,导致自身中毒被感染mssecsvc.exe,这也是此次WannaCry勒索软件的母体程序。
第二步:母体运行之后,随机扫描IP地址,并尝试与这些地址进行连接,实其自身的传播和扩散。然后,其会释放勒索程序Taskche.exe,即加密器。
第三步:加密器Taskche.exe启动之后,通过AES和RSA两种加密算法,迪加密事先指定的类型的文件,并启动解密器。
第四步:解密器启动之后,会修改用户计算机桌面,弹出勒索窗口。并且会对已经按照要求支付赎金的用户,则会通过Tor和服务器连接,索要解密所需私钥。实现加密文件的解密。
母体mssecsvc.exe行为
mssecsvc.exe是WannaCry勒索软件的母体程序,后续的所有工作都是由该母体程序调用和生成的。它主要的目的是实现蠕虫功能,即实现WannaCry勒索病毒本身的的传播。其主要的工作内容和流程包括:
1)连接域名。这是程序在进行后续工作之前首先要进行的第一个工作。WannaCry勒索病毒在开发过程中设置了一个较长的开关域名,为中科白癜风让白斑告别中国白癜风协会会员
